Toegangscontrole

Wanneer is een audit van toegangsrechten handig?

RH Beveiligingstechniek B.V. RH Beveiligingstechniek B.V.
· · 8 min leestijd

Toegangsrechten zijn vaak iets waar u pas naar kijkt als het misgaat.

Inhoudsopgave
  1. Waarom zou u een audit uitvoeren?
  2. Hoe ziet een audit er in de praktijk uit?
  3. Wanneer is het verstandig om een audit te plannen?
  4. Wat levert een audit op?
  5. Tot slot: een audit is geen eenmalige actie
  6. Veelgestelde vragen

Iemand die niet meer in dienst is, maar nog wel met z’n pasje naar binnen kan. Of een oud-contractant die nog toegang heeft tot een serverruimte. In de praktijk zien we dat de rechtenbeheerder van een organisatie het overzicht kwijtraakt na verloop van tijd. Een audit van toegangsrechten is dan geen luxe, maar een logische stap om grip te houden.

Waarom zou u een audit uitvoeren?

Een toegangsrechtenaudit is een systematische controle van wie waarnaartoe mag, en of dat nog klopt met de huidige functie of rol. Redenen om dit te doen zijn er genoeg:

  • Wijzigingen in personeel – uitdiensttreding, overplaatsing, nieuwe medewerkers.
  • Fusie of reorganisatie – rechten uit oude systemen lopen vaak door.
  • Verhuizing of oplevering van een nieuw pand – dan worden rechten vaak opnieuw ingericht, maar niet altijd goed afgesloten.
  • Een beveiligingsincident – bijvoorbeeld een inbraak of datalek waarbij een pasje is misbruikt.
  • Certificering of verzekeringseis – sommige verzekeraars vragen een actueel overzicht.

Wat ons opvalt is dat veel organisaties pas gaan auditen als de verzekering of een toezichthouder erom vraagt.

Maar het kan net zo goed een preventieve maatregel zijn die u voorkomt dat achteraf discussie ontstaat over wie toegang had tot een bepaalde ruimte.

Hoe ziet een audit er in de praktijk uit?

Een audit begint met een export van alle gebruikers en hun rechten uit het toegangscontrolesysteem. Dat kan een online portal zijn, maar ook een softwarepakket van bijvoorbeeld Alphatronics, UNii of Dahua.

Vervolgens vergelijken we die lijst met de actuele personeelsadministratie of het contractbeheer. Niet elke organisatie heeft die gegevens paraat, dus het vraagt soms wat voorbereiding. Daarna kijken we naar de fysieke context: welke ruimtes zijn er, en wat is het beveiligingsniveau per ruimte?

Een serverruimte vraagt andere rechten dan een kantine. En een magazijn heeft weer een ander protocol dan een kantoor.

In een audit noteren we per gebruiker of het recht nog nodig is, en of het past bij zijn of haar functie. Eerlijk gezegd komen we regelmatig tegen dat oud-directeuren nog gewoon door de hoofdingang kunnen. Of dat een stagiair toegang heeft tot de technische ruimte.

Wat doen wij daarin?

Dat zijn geen rampzalige fouten, maar het vergroot het risico op misbruik of diefstal. Een audit haalt dit soort sluipende rechten eruit.

Als beveiligingstechnisch bedrijf voeren wij audits uit in opdracht van een gebouweigenaar of facilitair manager.

Wij halen de data uit het systeem, maken een rapportage en geven aan welke rechten moeten worden aangepast of ingetrokken. Soms doen we dat in combinatie met het fysiek testen van de deuren en lezers – of die echt op slot gaan zoals ingesteld. Dat laatste wordt nog wel eens vergeten als een installatie niet goed is onderhouden. De rapportage leveren we digitaal, vaak met een overzichtelijke tabel en een advies voor de volgende stap.

Het is geen juridisch oordeel, maar een technische inventarisatie. De organisatie beslist zelf welke rechten worden gewijzigd.

Wanneer is het verstandig om een audit te plannen?

Er is geen vaste regel die zegt: een keer per jaar moet u een audit doen.

Het hangt af van de dynamiek in uw organisatie. In een stabiel kantoor met weinig personeelswisselingen is een audit eens per twee jaar meestal voldoende.

In een magazijn of productieomgeving met veel uitzendkrachten en wisselende ploegen, dan is elk half jaar verstandiger. Ook veranderingen in wet- en regelgeving kunnen een audit noodzakelijk maken. De Bbl (Besluit bouwwerken leefomgeving) stelt eisen aan de toegankelijkheid van vluchtwegen, maar niet direct aan rechtenbeheer. Toch adviseren we om bij elke wijziging in de bouw of indeling van een pand de toegang per ruimte in te stellen.

Een nieuw vluchtdeurbeveiligingssysteem of een extra camera kan invloed hebben op wie waar door mag.

Wat me trouwens opvalt: veel organisaties hebben de rechten alleen ingesteld bij de installatie, en daarna nooit meer aangeraakt. Terwijl de gebruikers en functies in een jaar tijd flink kunnen veranderen. Een audit is eigenlijk een vorm van onderhoud voor uw beveiligingssysteem.

Wat levert een audit op?

U krijgt een helder overzicht van de huidige situatie. Geen aannames, maar feiten: per gebruiker, per deur, per tijdzone.

U weet precies of er rechten zijn die niet kloppen. Dat helpt niet alleen bij de beveiliging, maar ook bij bijvoorbeeld de AVG. Want wie toegang heeft tot persoonsgegevens moet u kunnen aantonen.

Met een auditrapport heeft u die verantwoording op orde. Daarnaast voorkomt het dat u achteraf moet uitleggen waarom een onbevoegde een ruimte kon betreden.

Hoe lang duurt zo’n audit?

Zeker in situaties waar schade is ontstaan of een ongeval heeft plaatsgevonden, kijkt een verzekeraar of toezichthouder naar hoe u rechten voor medewerkers en leveranciers beheert.

Een actuele audit is dan een sterk document. Dat hangt af van de omvang. Voor een middelgroot bedrijf met 50 pasjes en 10 deuren zijn we een dag bezig met het uitlezen, vergelijken en rapporteren. Bij grotere complexen met meerdere locaties of integratie met een brandmeldinstallatie of CCTV, kan het een paar dagen duren. We stemmen de planning altijd af op uw beschikbaarheid – u moet immers de lijsten met gebruikers aanleveren, en soms ook toestemming geven om rechten aan te passen.

Tot slot: een audit is geen eenmalige actie

Het is verstandig om een audit te zien als onderdeel van periodiek beheer, net als het testen van een brandmeldinstallatie of het controleren van camera’s.

Als u eenmaal een goed overzicht heeft gemaakt, kunt u daarna een eenvoudige procedure opzetten om wijzigingen bij te houden. Denk aan een maandelijks of kwartaaloverzicht van nieuwe en vertrokken medewerkers, dat u koppelt aan het toegangscontrolesysteem. Wilt u weten hoe toegangscontrole bij personeelswissel voor uw situatie eruitziet?

Neem dan gerust contact op. We denken graag mee, zonder direct een offerte te pushen.

Veelgestelde vragen

Wat is het voordeel van een toegangsrechtenaudit?

Bij RH Beveiligingstechniek zien we dat organisaties vaak pas een audit uitvoeren als er een probleem is.

Hoe bereidt RH Beveiligingstechniek zich voor op een toegangsrechtenaudit?

Een toegangsrechtenaudit is echter een proactieve stap die ons helpt om te controleren of de toegangsrechten van medewerkers en contractanten nog steeds overeenkomen met hun huidige functie. Zo voorkomen we dat oud-directeuren of stagiairs onnodig toegang hebben tot gevoelige ruimtes, wat een aanzienlijk risico op misbruik of diefstal kan vormen.

Wat gebeurt er als een audit sluipende rechten aan het licht brengt?

Onze audits beginnen met een grondige export van alle gebruikers en hun rechten uit het toegangscontrolesysteem. Vervolgens vergelijken we deze lijst met de actuele personeelsadministratie of het contractbeheer. Soms is dit een uitdaging, maar we werken nauw samen met de betrokken partijen om de benodigde informatie te verzamelen. Daarna analyseren we de fysieke context: welke ruimtes zijn er, en wat is het beveiligingsniveau per ruimte?

Als tijdens een audit sluipende rechten worden ontdekt, zoals een oud-directeur die nog steeds toegang heeft tot de hoofdingang, dan nemen wij direct maatregelen.

Waarom is het belangrijk om toegangsrechten periodiek te controleren?

Wij passen de rechten aan of intrekken, en in sommige gevallen testen we ook fysiek of de deuren en lezers correct zijn ingesteld. Dit zorgt ervoor dat we de beveiliging van de organisatie continu optimaliseren. Toegangsrechten kunnen veranderen door personeelsveranderingen, fusies of reorganisaties.

Zonder regelmatige audits kunnen onjuiste rechten lang doorgaan, waardoor het risico op ongeautoriseerde toegang toegenomen wordt. Een preventieve audit is dus essentieel om de beveiliging te waarborgen en te voldoen aan eventuele verzekerings- of certificeringseisen.

Wanneer adviseert RH Beveiligingstechniek om een toegangsrechtenaudit uit te voeren?

Wij adviseren organisaties om een toegangsrechtenaudit uit te voeren bij wijzigingen in personeel, fusies of reorganisaties, of na een beveiligingsincident.

Ook als er een certificering of verzekeringseis is, is een actueel overzicht van toegangsrechten cruciaal. Het is een investering in de veiligheid en het voorkomen van potentiële problemen.

Lees ook
Welke toegangscontrole past bij uw bedrijf? Toegangscontrole met tags, pasjes of codes: wat kiest u? Hoe werkt toegangscontrole bij een kantoor? Toegangscontrole voor een magazijn: waar let u op? Waarom sleutels vervangen door pasjes rust geeft Toegangscontrole bij personeelswissel: zo houdt u grip
RH Beveiligingstechniek B.V.
RH Beveiligingstechniek B.V.
Specialist brandveiligheid en beveiligingstechniek

RH Beveiligingstechniek ondersteunt organisaties met brandmeld, ontruiming, CCTV, inbraakdetectie en toegangscontrole.

✓ Geverifieerd auteur ✓ brandveiligheid en beveiligingstechniek voor bedrijven
RH Beveiligingstechniek B.V.
RH Beveiligingstechniek B.V.
Specialist brandveiligheid en beveiligingstechniek

RH Beveiligingstechniek ondersteunt organisaties met brandmeld, ontruiming, CCTV, inbraakdetectie en toegangscontrole.

Meer over Toegangscontrole

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Welke toegangscontrole past bij uw bedrijf?
Lees verder →